Im WordPress-Plugin Ally, das Websites um Funktionen zur Barrierefreiheit ergänzt, steckt eine SQL-Injection-Schwachstelle, über die sich vertrauliche Datenbankinhalte auslesen lassen. Die Lücke wird unter der Kennung CVE-2026-2413 geführt und mit einem CVSS-Wert von 7,5 bewertet.
Nach Angaben der auf WordPress-Sicherheit spezialisierten Firma Defiant handelt es sich um eine SQL-Injection über den URL-Pfad. Sie entsteht, weil von Nutzern übergebene URL-Parameter in einer bestimmten Methode nicht ausreichend bereinigt werden. Der Bereinigungsmechanismus verhindert das Einschleusen von SQL-Metazeichen wie einfachen Anführungszeichen und Klammern nicht.
„Dies ermöglicht es unauthentifizierten Angreifern, zusätzliche SQL-Abfragen an bereits bestehende Abfragen anzuhängen, mit denen sich über zeitbasierte Blind-SQL-Injection vertrauliche Informationen aus der Datenbank auslesen lassen“, erklärt das Sicherheitsunternehmen.
Lokalisiert wurde das Problem in der Umsetzung der Abfragefunktion für Abonnenten („subscribers“). Diese verwendet die WordPress-Funktion wpdb prepare() nicht, die SQL-Abfragen parametrisieren und für die sichere Ausführung maskieren soll. Dadurch können Angreifer eigene SQL-Abfragen einschleusen und mittels zeitbasierter Blind-SQL-Injection Daten abziehen.
Der Patch ergänzt den Bereinigungsablauf um die Funktion wpdb prepare() und schützt so vor SQL-Injection. Die Korrektur ist in Ally 4.1.0 enthalten, das am 23. Februar veröffentlicht wurde.
Laut WordPress-Statistiken liefen Stand 11. März rund 60 Prozent aller Installationen mit einer verwundbaren Version des Plugins. Da Ally über 400.000 aktive Installationen verzeichnet, dürften mehr als 200.000 Websites potenziell angreifbar sein.
